I. Ochrana osobních údajů

  1. Uživatel získá od příjemců informací přes formulář či jiným způsobem jejich osobní údaje, které bude využívat a zpracovávat výhradně pro potřebu služeb on-line nástroje Lepší místo dle Smlouvy a těchto Podmínek. Tyto osobní údaje vloží do zabezpečené databáze spravované poskytovatelem. Uživatel je v postavení správce a poskytovatel v postavení zpracovatele i v případě, kdy osobní údaje získá pro uživatele poskytovatel.
  2. Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě, např. jméno, identifikační číslo, lokační údaje nebo identifikace dle prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity. Předmětem zpracování jsou osobní údaje jednotlivých příjemců informací zapojených do on-line nástroje Lepší místo a dále osobní údaje kontaktních osob subjektů zapojených do tohoto nástroje (zejména firem, obcí a příspěvkových organizací). Doba trvání zpracování je 5 let. Záměrem poskytovatele je on-line nástroj rozvíjet i po této době, takže lze předpokládat její prodloužení. Povahou zpracování je dobrovolné získání osobních údajů od dotčených osob a informovaného souhlasu s jejich zpracováním, a samotné zpracování osobních údajů, přičemž jde zejména o jméno a příjmení a kontaktní údaje. Účelem zpracování je zajištění fungování on-line nástroje Lepší místo, on-line nástroje Anketomat a partnerské komunikační platformy Mobilní rozhlas, zejména zjištění názoru v anketách, navrhování nápadů a přihlašování projektů do kampaní skrze formuláře a dále informování o novinkách a vývoji kampaní.
  3. K zajištění ochrany osobních údajů se poskytovatel zavazuje
    1. zpracovávat osobní údaje pouze na základě doložených pokynů uživatele, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na poskytovatele vztahuje; v takovém případě poskytovatel uživatele informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
    2. zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
    3. přijmout všechna opatření požadovaná podle článku 32 GDPR, tedy s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně:
      1. pseudonymizace a šifrování osobních údajů,
      2. schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování,
      3. schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů,
      4. procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;

při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim;

    1. zohlednit povahu zpracování, být uživateli nápomocen prostřednictvím vhodných technických a organizačních opatření, pro splnění uživatelovy povinnosti reagovat na žádosti o výkon práv subjektu údajů;
    2. být uživateli nápomocen při zohlednění povahy zpracování a informací, jež má k dispozici, při
      1. zabezpečení zpracování osobních údajů,
      2. ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu,
      3. oznamování případů porušení zabezpečení osobních údajů subjektu údajů, a případně také při
      4. posouzení vlivu na ochranu osobních údajů,
      5. předchozích konzultacích před zpracováním s dozorovým úřadem;
    3. v souladu s rozhodnutím uživatele všechny osobní údaje buď vymazat, nebo je vrátit uživateli po ukončení poskytování služeb spojených se zpracováním, a vymazat existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
    4. poskytnout uživateli veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožnit audity, včetně inspekcí, prováděné uživatelem nebo jiným auditorem, kterého uživatel pověřil, a k těmto auditům přispět.
  1. Poskytovatel je oprávněn povolením uživatele využít k zajištění plnění také subdodavatele. Poskytovatel bude uživatele informovat o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky. Subdodavateli budou na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu uloženy stejné povinnosti na ochranu údajů, jaké jsou uvedeny v těchto podmínkách nebo jiném právním aktu mezi poskytovatelem a uživatelem, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření. Nebude-li uvedený další subdodavatel plnit své povinnosti v oblasti ochrany údajů, odpovídá uživateli za plnění jeho povinností i nadále plně poskytovatel.
  2. Poskytovatel je povinen neprodleně informovat uživatele v případě, že podle jeho názoru určitý pokyn porušuje GDPR nebo jiné předpisy Unie nebo členského státu týkající se ochrany údajů.
  3. Poskytovatel touto smlouvou poskytuje uživateli tyto dodatečné záruky, pokud jde o zavedení vhodných technických a organizačních opatření, aby zpracování splňovalo požadavky GDPR:
    1. jako jedno z východisek pro řádné poskytování plnění vnímá soulad s GDPR,
    2. přijal vlastní zásady zpracování osobních údajů včetně jejich ochrany a likvidace,
    3. technické přístroje poskytovatele (počítače, tablety, mobilní telefony) jsou zabezpečeny,
    4. zaměstnanci poskytovatele byli řádně proškoleni o správném jednání v souladu s GDPR.